octobre, 2008

APC met les pieds dans le plat en signalant que le SP1, et plus particulièrement son « amélioration » de Bitlocker, entre en conflit avec certains mécanismes de multiboot en général et avec Grub en particulier. En d’autres termes, toute machine protégée avec Bitlocker refuse l’installation du SP1 si le MBR de Vista Enterprise ou Ultimate contient une amorce Grub (ndlr : et doit probablement l’être également avec les antiques Lilo, pour cette même raison). Le chiffrement des secteurs d’amorçage qu’effectue Bitlocker –et le contrôle d’intégrité effectué via la base du TPM- ne peut être assuré puisque précisément rien ne correspond à ce qu’aurait pu installer un Vista installé « normalement ».

Il est donc conseillé aux utilisateurs de ce type de configuration de restaurer momentanément les secteurs de boot « à la mode Microsoft » le temps d’installer le SP1, puis, à la main ou à l’aide d’un utilitaire genre EasyBCD, de rétablir la situation d’origine avec Grub.

Même motif, même punition sur les machines de développeurs ayant installé un 2008 Server paramétré « workstation ». Il faut toutefois reconnaître que, dans le cadre d’utilisations professionnelles (développement, test de configuration, applications métier spécifiques etc), l’on rencontre de plus en plus de personnes évitant la solution multiboot au profit d’une configuration reposant sur un hyperviseur (HyperV, ESX ou Xen). La sécurité des noyaux y gagne considérablement, la simplicité des opérations de sauvegarde et de réplication également. Même si, virtualisation oblige, la gestion des entrées-sorties est encore très loin de reproduire toutes les situations du monde réel.

Le quarantième numéro de Misc vient de paraître avec, au sommaire, un point sur la cyber-guerre Russo-Géorgienne, et surtout un dossier complet de 41 pages sur la sécurité des réseaux et la perspective de l’arrivée d’IPv6. A noter également un cahier d’un peu plus d’une dizaine de pages consacré à la biométrie, sous le titre de « La biométrie : solution ou illusion ? ». Le traditionnel éditorial de Fred « papy » Raynal n’est hélas plus disponible en ligne, du moins dans un format lisible.

Après le soupir de soulagement poussé par l’ensemble des Internautes, voilà que la suspension du registrar EstDomain par l’Icann éveille quelques instincts de vengeance. « Et si l’on passait aux autres » demande Chris Barton, de l’Avert Lab. Et de commencer à balancer quelques noms : Moniker, havre pour les polluposteurs, Xin Net et Tech & OnlineNic, réputés pour leur richesse pharmaceutique et leur amour du jeu en ligne, Planet Online, spécialiste du snowshoe spamming (pollupostage émis par un très grand nombre d’adresses IP afin d’en noyer l’origine réelle), Dynamic Dolphin, détenu par un certain Scott Ricter, qui eut, lui aussi, des démêlés avec la justice, ou directNIC, chez qui le typosquatting n’est qu’un péché véniel.

Mais il est peut-être trop tard, craint Barton. Déjà, les principaux cybertruands avaient rapidement quitté le navire EstDomain lorsque la situation a commencé à sentir le roussi* dans le courant du mois d’août. Une manière comme une autre de demander à l’Icann d’agir avec un peu plus de courage et de détermination. Un signal qui s’adresse également aux autres registrars qui seraient coupables de négligence dans le choix de leurs clients : l’épée de Damoclès est suspendue au dessus de leur gestion de netblocs, et l’Icann vient de se souvenir de la façon dont on utilise une paire de ciseaux.

Enfin presque. Car, dans le courant de la nuit, et après la réception d’un fac-simile émis par l’équipe dirigeante d’EstDomain, l’Icann a suspendu… sa suspension. Par un jeu subtil d’écriture, le dénommé Vladimir Tšaštšin ne serait plus patron de l’entreprise depuis juin dernier… ce qui, d’un point de vue strictement organique, rend caduque le fondement même de la radiation tel qu’invoqué par l’Icann. Plus de repris de justice à la tête d’un registrar, plus de raison d’en faire cesser l’activité. Si l’Icann, après ce coup d’éclat salué par l’ensemble du monde Internet, revient définitivement sur sa décision, s’en sera fini de sa réputation. En refusant de se prononcer sur le fond réel du problème –l’enregistrement de spammeurs notoires et de sites manifestement liés à la mafia du RBN -, le gendarme de l’immatriculation Internet pourrait bien confirmer son rôle de roi-soliveau.

*NdT Note du Traducteur : plutôt que « sentir le roussi », Chris Barton utilise une périphrase aussi américaine qu’odorante, exprimant la manifestation d’une situation paroxystique : « defecation meets the rotary oscillator ». Cette formule très répandue est la forme châtiée du populaire « The shit hit the fan », dont on peut voir une illustration dans le film Airplane (Y’a-t-il un pilote dans l’avion) .Si l’on en croit le site Urban Dictionnary, l’expression originale s’énonce ainsi : « The excrement made physical contact with a hydro-electric powered oscillating air current distribution device ». Les sémanticiens savoureront cette délicieuse palette de nuances exprimant l’inéluctabilité du principe de Murphy.

Etonnant culot que celui de Tommy Joe Tidwell et de sa bande. Sa « combine » était pourtant simple : il imprimait des étiquettes UPC (Universal Product Code, équivalent américain de notre code à barres EAN) avec son propre matériel informatique, pour ensuite les coller discrètement sur des produits disposés sur les linéaires de grands magasins. Des étiquettes qui, l’on s’en doute, affichaient un prix très inférieur à la valeur réelle de l’objet. Il suffisait ensuite de proposer ces mêmes objets sur eBay, à des tarifs légèrement surévalués. Las, l’arnaque, qui s’étendait sur plusieurs états -Ohio, Illinois, Indiana, Pennsylvanie et Texas- a fini par être éventée, et le FBI s’est empressé de mettre Tidwell et quatre de ses complices sous les verrous. Au total, la fraude aurait porté sur plus d’un million de dollars de matériel, et se serait étalée sur plus d’un an.

Tidwell, hélas, n’était qu’un précurseur malheureux. S’il avait su patienter quelques années de plus, il aurait avantageusement appris comment modifier à distance les étiquettes du XXIème siècle.

Après deux dangereux acheteurs de téléphones cellulaires Sénégalais, c’est au tour d’un boutiquier spécialisé également dans la téléphonie portable d’être arrêté, nous apprend une dépêche de l’AFP relayée sur Yahoo. Une dépêche qui précise que l’on est véritablement face à une attaque en « spear phishing » longuement mûrie, puisque plusieurs membres de l’entourage familial du Chef de l’Etat ont également été victimes d’un semblable vol d’identité bancaire. Ainsi s’additionnent peu à peu les preuves indiscutables qu’il s’agit là bien d’une opération très concertée, dirigée par un « cerveau » de haute volée. La police est sur les dents et, compte-tenu de la célérité avec laquelle ces arrestations se succèdent, l’on peut aisément imaginer l’importance des effectifs affectés à cette mission.

Fort heureusement, puisque l’on est en France, aucune fuite, aucune défaillance du système bancaire n’est à déplorer. Fort heureusement également, il semblerait que, derrière cette histoire, ne plane aucune main d’origine Russe, Chinoise ou Brésilienne, ce qui aurait, admettons-le, fortement compromis l’évolution médiatique des comptes-rendus d’enquête.

200 000 mails par jour, serveur de messagerie intégré, support des smtp-relay, cache DNS automatique accélérant le processus, gestion des champs TO, CC, BCC et PersonalCopy, émulation totale de la signature Outlook Express, support de la distribution via proxy, gestion des adresses erronées sans « faux positifs », création automatique de listes d’adresses valides en fonction des réponses des serveurs de réception, éditeur Wysiwyg intégré pour des phising de qualité, paramétrage du calendrier d’envoi. Le tout sans risque, grâce à nos services à la demande de « spam outsourcé » : une qualité professionnelle garantie, des résultats sans le moindre risque qui sonne le glas de l’artisanat du pollupostage.

Dancho Danchev, une fois de plus, nous apprend avec un exemple concret comment les malwares sont passés du stade de la guerilla quasi artisanale à celui de l’« infection as a service ». Il ne faudra pas longtemps avant que l’on puisse constater que les premières grandes mises en œuvre dans le domaine du Cloud Computing soit le fait des clients du RBN plutôt que de l’industrie traditionnelle du Net.

Des défauts dans la gestion du protocole snmp, des problèmes dans une bibliothèque de « compactage » Lempel Ziv, une mise à jour des paquetages Samba et vmnix : ces quelques défauts de sécurité sont, pour la plupart, susceptibles de provoquer un déni de service.L’éventualité d’une exploitation de code à distance est faible mais pas à écarter.

Anticipant une période de crise économique profonde, Symantec serait l’un des premiers industriels du secteur de la sécurité à envisager une campagne de licenciement préventive dans les prochains mois. Selon nos confrères de Network World, l’ampleur de cette charrette, bien qu’encore non précisée, devrait permettre d’économiser 4,5 % de la masse salariale. Les licenciements devraient toucher toutes les régions du monde. Ces mesures seront accompagnées, affirment nos confrères américains, d’un accroissement de la sous-traitance des infrastructures administratives de l’entreprise (finance et informatique). Le mois dernier, Symantec se portait acquéreur de Message Lab, dans une opération s’élevant à 695M$ en cash, somme jugée par les observateurs du monde de la finance comme étant très nettement surévaluée par rapport à la marge brute dégagée par l’entreprise rachetée.

C’est probablement l’un des épisodes les plus marquants de la guerre qui oppose depuis quelque mois le milieu cyber-mafieux et le monde de la sécurité. EstDomain. Ce registrar véreux était réputé pour délivrer des noms de domaines et gérer les blocs IP des plus grands spammeurs et de centres de contrôle de botnets. Il servait de repère, via des hébergeurs genre Atrivo/Intercage, à des armadas de spécialistes du détournement d’URL, à des orchestrateurs d’infection de serveurs à des fins de drive by download, à bon nombre –si ce n’est à la grande majorité- des prétendus éditeurs de faux antivirus et autres « scareware ». Bref, c’était l’enregistreur officiel d’une bonne partie du Russian Business Network et de ses satellites. De Profundis.

Le blog de F-Secure consacre donc à EstDomain un éloge funèbre à l’image de sa splendeur passée. La lettre de radiation de l’Icann, un organigramme de la « galaxie noire » qui gravitait autour du noyau qu’était ce registrar, une mention très brève de l’existence de son propriétaire, Vladimir Tšaštšin, et le poids que pesait EstDomain dans la sphère Internet. Tšaštšin, avait révélé Krebs du Washington Post, avait été poursuivi et condamné pour diverses activités frauduleuses, faux en cartes bancaires, blanchiment d’argent sale. Ce sérieux curriculum vitae lui a valu l’honneur de servir de bras administratif au RBN. Et un bras musclé. Car, rappelle un tableau de l’Icann, c’était là le 53ème service d’enregistrement de nom de domaine au monde, avec 246 000 clients. A titre de comparaison, NSI en compte près de 6,6 millions, et le premier Français, OVH, 25ème, affiche 604 000 inscrits.

Brian Krebs, du Washington Post, qui fut l’un de ceux qui ont le plus violemment dénoncé les activités douteuses de ce regitrar, dresse une dernière biographie de ce saigneur du monde IP. Son article, pourtant, n’a rien de triomphant. Sur nos têtes, dit-il, plane un spectre bien plus inquiétant. Il y a fort à parier que les coups de semonce que la presse et l’opinion publique ont tiré contre ces bâtiments officiels du RBN, aient averti, puis préparé ledit RBN à imaginer le plus vite possible une parade. Il est presque certain que nous n’aurons plus, comme par le passé, des cibles aussi visibles que celles qu’offrait un Atrivo ou un EstDomain, et que la force de frappe de la cyberdélinquance se dilue dans la masse d’une multitude de petits registrars, aussi faisandés mais bien moins faciles à situer que ne l’était leur prédécesseur.

Dans les jours qui vont suivre, l’attitude de l’Icann sera intéressante à noter. D’une part, il va falloir à cet organisme de statufier sur le sort des 246 000 inscrits laissés en souffrance. Les légitimes… et les truands. Et c’est bien là que résidera le principal problème. L’Icann retire à Tšaštšin son titre de registrar en raison de son passé et non en raison de son activité notoire de prince d’une cour des miracles Internetienne. Passé qui a fait l’objet d’un jugement et d’une peine purgée (le coupable a été libéré sur parole). Cet aveuglement dogmatique ira-t-il jusqu’à ce que les IP des clients douteux d’EstDomain soient « relogés » légalement dans le DNS d’un autre registrar ? Et quand bien même une telle décision ne serait prise que l’on peut se demander, compte tenu de la très relative rapidité de réaction de l’Icann dans cette affaire, si les futurs « petits » registrars successeurs pilotés par le RBN ou ses héritiers, auront quelque chose à craindre de ce roi-soliveau.

« Saviez-vous que 1 personne sur 44 avoue avoir perdu de l’argent à la suite d’une escroquerie à la loterie sur Internet ? » Roger Halbheer, Chief Security Advisor chez Microsoft, joue les évangélistes anti-scam. Est-ce là encore l’une de ces actions plus « marketing » qu’efficace que tente de lancer Microsoft, telle cette campagne contre les « scarewares », ces faux antivirus ? « Dans un premier temps, nous cherchons avant tout à obtenir des métriques et à sensibiliser. Obtenir des métriques, car, quelques sondages mis à part, personne n’a une idée très précise de l’ampleur de ce genre d’escroquerie. On est très loin des grandes affaires genre « scam Nigérian »… ce sont, dans le cadre des escroqueries à la loterie, des vols de petites sommes, des opérations affectant plus l’amour-propre de la victime que son porte-monnaie. Et il n’est pas toujours agréable de porter plainte auprès de la police en avouant s’être fait « repassé » de 200 euros sous prétexte que l’on a naïvement cru gagner le gros lot d’un sweepstake auquel on n’a jamais participé… le ridicule fait peur, et l’on peut soupçonner que des sommes fantastiques sont ainsi récoltées par les filières mafieuses sans que les autorités aient une réelle idée de l’ampleur du phénomène ». Reste que l’alliance avec Western Union, la banque la moins regardante quant au contenu des transferts réalisés (e-gold ou Webmoney mis à part), ne donne pas à cette campagne la couleur blanc-bleu qu’elle prétend avoir. Mais revenons aux résultats de l’étude préliminaire publiée par Microsoft et conduite par l’Ipsos

27 % des internautes interrogés pensent qu’ils pourraient être victimes d’une escroquerie à la loterie qui leur coûterait de l’argent.
51 % des internautes interrogés déclarent que ces courriels d’escroquerie à la loterie les rendent réticents à acheter des biens sur Internet.
36 % déclarent qu’ils sont devenus davantage réticents à utiliser Internet suite à ces escroqueries à la loterie.
Pour ¼ des internautes français, les mails d’escroquerie à la loterie ne sont pas forcément des escroqueries et ils sont 18% à les ouvrir

Beaucoup de « ressenti » dans cette étude, mais encore très peu de faits vérifiables. L’étude, par exemple, n’a absolument pas pris en compte la législation sur les jeux dans les différents pays européens couverts par l’enquête… Or, la différence de perception entre ce qui est légalement « permis » dans un pays et ce qui est « possible » sur Internet –un milieu dénué de frontières- est précisément un levier activement exploité par les scammers. La non prise en compte de ce levier peut biaiser la pertinence des résultats collectés.